Alerte VENAFI - Kevin Bocek commente : Un nouveau malware SSH-Snake vole des clés SSH pour se propager sur le réseau
février 2024 par Kevin Bocek, chef de l’innovation chez Venafi
Il semblerait que ‘un nouveau malware nommé SSH-Snake, vole
discrètement les clés SSH pour se propager sur les réseaux.
Découvert par l’équipe de recherche de Sysdig, SSH-Snake évite les
schémas détectables des attaques scriptées, rendant sa détection
difficile. Kevin Bocek, Directeur de l’Innovation chez Venafi, souligne
que SSH-Snake peut avoir des conséquences graves en raison du niveau
élevé de privilèges accordé aux clés SSH.
Il met en garde contre le
danger potentiel pour les entreprises qui ne gèrent pas efficacement
leurs clés SSH, soulignant que celles-ci ne sont pas soumises à
expiration comme d’autres identités machine, ce qui en fait une cible
lucrative pour les attaquants. Pour contrer de telles menaces, il est
crucial que les entreprises aient une visibilité sur toutes leurs
identités machine et qu’elles mettent en place des politiques pour
automatiser la rotation des identités de machine. Cette démarche est
essentielle pour toute entreprise prenant au sérieux la gestion des
identités de machine.
Kevin Bocek, chef de l’innovation chez Venafi souligne :
« SSH-Snake pourrait avoir de graves conséquences compte-tenu du
niveau élevé de privilèges accordés aux clés SSH. Bien que
SSH-Snake ait été développé dans le but d’aider les entreprises à
trouver des failles dans leurs défenses, c’est une arme à double
tranchant si elles ne gèrent pas efficacement leurs clés SSH. Capable
de se modifier automatiquement et d’exploiter les identifiants SSH,
SSH-Snake pourrait être extrêmement dangereux entre les mains des
attaquants. Contrairement à d’autres identités machine, les clés
SSH n’expirent pas et elles sont très mal comprises. Cela signifie
qu’une identité compromise pourrait être exploitée pendant
longtemps – des mois, voire des années – sans qu’une organisation
le sache, ce qui en ferait une mine d’or pour les opportunistes.
Un attaquant armé de SSH-Snake pourrait sans effort traverser les
réseaux, intercepter les connexions et accéder à l’infrastructure
de l’entreprise. Ses subtiles modifications de code le rendent
pratiquement indétectable. Des recherches montrent qu’en 2020, 37%
des DSI ont déclaré manquer de visibilité sur la localisation des SSH
au sein de leurs réseaux. Aujourd’hui, avec l’utilisation
croissante de SSH dans les environnements cloud, les conteneurs et les
flux de travail automatisés, ce chiffre est probablement encore plus
élevé. Ce manque de surveillance est inquiétant, étant donné que
ces identités machines critiques sont utilisées partout, des pare-feu
et routeurs aux systèmes Unix ou Linux. Pour contrer les menaces qui
pourraient provenir d’outils tels que SSH-Snake, les entreprises
doivent avoir une visibilité sur toutes leurs identités de machine,
leur permettant de définir et d’appliquer des politiques qui
automatisent la rotation des identités machine qui pourraient les
exposer. Avec autant d’identités machines maintenant présentes dans
les organisations, disposer d’un plan de contrôle pour les aider à
les automatiser est une nécessité absolue pour toute entreprise qui
prend l’identité de la machine au sérieux. »